Valide que, al establecer los objetivos, la organización ha determinado lo que se debe hacer, cuándo y por quién, debe revisar los procesos de planificación y documentación, examinar las funciones y responsabilidades, y verificar los plazos y las medidas de responsabilidad. A continuación, se muestra un enfoque estructurado para garantizar que estos elementos estén en su lugar y debidamente documentados:

Pasos para validar el establecimiento de objetivos y la planificación de la implementación

Revise la documentación de los objetivos del SGSI

Objetivos detallados: Asegurar que los objetivos del SGSI estén claramente definidos y detallados. Cada objetivo debe especificar lo que se debe lograr.

Planes de acción: Busque planes de acción que los acompañen y que desglosen los objetivos en tareas y actividades específicas.

Examinar las funciones y responsabilidades

Asignaciones de responsabilidades: Verificar que cada tarea o actividad asociada con los objetivos tenga un propietario designado o responsable. Esto se puede documentar en una Matriz de Asignación de Responsabilidades (RACI) o una herramienta similar.

Descripciones de puestos: Compruebe que las descripciones de puestos relevantes incluyan responsabilidades relacionadas con el logro de los objetivos del SGSI.

Verificar cronogramas y plazos

Planes de proyecto: Revise los planes de proyecto o los cronogramas que describen cuándo se debe completar cada tarea o actividad.

Hitos: Asegúrese de que haya hitos y plazos claros para las actividades clave y que estos estén documentados.

Comprobación de los mecanismos de seguimiento y presentación de informes

Seguimiento del progreso: Verifique que existan mecanismos para realizar un seguimiento del progreso con respecto a los objetivos. Esto podría ser en forma de informes de estado, paneles o reuniones periódicas.

Indicadores de rendimiento: Busque indicadores clave de rendimiento (KPI) definidos o métricas que se utilicen para medir el progreso y el éxito.

Realizar entrevistas y encuestas

Entrevistas: Realice entrevistas con el personal clave, incluidos los propietarios objetivos y los miembros del equipo, para confirmar su comprensión de sus funciones, responsabilidades y plazos.

Encuestas: Distribuya encuestas o cuestionarios para evaluar el conocimiento y la comprensión de los objetivos del SGSI y las tareas relacionadas entre los empleados.

Revisar la evidencia de la comunicación

Notas y correos electrónicos internos: Verifique las comunicaciones internas que describan claramente lo que se debe hacer, quién lo debe hacer y cuándo.

Actas de reuniones: Busque las actas de las reuniones en las que se discutieron y asignaron objetivos, responsabilidades y plazos.

Hallazgos de auditoría y revisión

Auditorías internas: Revise los informes de auditoría interna que evalúan el proceso de establecimiento de objetivos y verifica que las funciones, responsabilidades y plazos estén claramente definidos y documentados.

Registros de revisión por la dirección: Examine los registros de las revisiones por la dirección que analizan el estado de los objetivos del SGSI y las tareas relacionadas.

Ejemplos de pruebas que se deben recopilar

Documentación de los objetivos del SGSI

·        Objetivos detallados del SGSI con tareas y actividades específicas delineadas.

·        Planes de acción complementarios en los que se especifique lo que hay que hacer.

Funciones y responsabilidades

·        Matriz de Asignación de Responsabilidades (RACI) o herramienta similar.

·        Descripciones de puestos de trabajo con responsabilidades relacionadas con el SGSI.

Plazos y plazos

·        Planes de proyecto o diagramas de Gantt que muestran cronogramas y plazos.

·        Documentación de hitos y entregables clave.

Mecanismos de seguimiento y presentación de informes

·        Informes de estado o paneles de progreso.

·        KPI definidos o métricas de rendimiento utilizadas para realizar un seguimiento del progreso.

Resultados de entrevistas y encuestas

·        Notas o transcripciones de la entrevista que confirmen la comprensión de las funciones, las responsabilidades y los plazos.

·        Los resultados de la encuesta muestran el conocimiento y la comprensión entre los empleados.

Evidencia de comunicación

·        Memorandos internos, correos electrónicos o boletines informativos que comunican tareas, responsabilidades y cronogramas.

·        Actas de reuniones que documentan las discusiones y tareas relacionadas con los objetivos del SGSI.

Hallazgos de auditoría y revisión

·        Informes de auditoría interna que evalúan el proceso de fijación de objetivos.

·        Revisión de las actas de las reuniones en las que se discute el estado de los objetivos y las tareas.

Ejemplo de contenido de documentación

Plan de acción para el SGSI Objetivo

**Objetivo:** Reducir los incidentes de seguridad de la información en un 20% en 12 meses

**Tareas y actividades:**

1. **Realizar una formación de concienciación sobre seguridad**

  - **Lo que hay que hacer:** Desarrollar e impartir sesiones de formación en materia de seguridad.

  - **Cuándo:** Q1 2024

  - **Por quién:** Equipo de Seguridad de TI, dirigido por el Coordinador de Concienciación sobre Seguridad

2. **Implementar herramientas avanzadas de detección de amenazas**

  - **Lo que hay que hacer:** Seleccione, adquiera e implemente herramientas avanzadas de detección de amenazas.

  - **Cuándo:** Q2 2024

  - **Por quién:** Equipo de Infraestructura de TI, gestionado por el Director de Operaciones de TI

3. **Realizar auditorías de seguridad periódicas**

  - **Lo que hay que hacer:** Programe y realice auditorías de seguridad mensuales.

  - **Cuándo:** Mensual, a partir de enero de 2024

  - **Por quién:** Equipo de Auditoría Interna, supervisado por el Director de Seguridad de la Información (CISO)

**Hitos:**

- **Q1 2024:** Capacitación completa de concientización en seguridad para todos los empleados.

- **Q2 2024:** Implemente herramientas avanzadas de detección de amenazas en toda la red.

- **En curso:** Logre cero hallazgos críticos en auditorías de seguridad mensuales.

**KPIs:**

- Porcentaje de empleados que completan la formación en materia de seguridad.

- Número de incidentes detectados y mitigados por las nuevas herramientas de detección de amenazas.

- Número y gravedad de los hallazgos en las auditorías de seguridad mensuales.

Siguiendo estos pasos y recopilando las pruebas adecuadas, puede validar que la organización ha determinado lo que hay que hacer, cuándo y quién debe hacerlo al establecer los objetivos del SGSI. Esto garantiza un enfoque estructurado para lograr los objetivos y mantener el cumplimiento de la norma ISO/IEC 27001: 2022.

¡ESTAMOS AQUÍ PARA AYUDAR!

¡CLIC AQUÍ para una prueba de Dogma C3X en tu compañía totalmente gratis!

Dogma C3X es una Plataforma Inteligente de Consultoría de Negocios inspirada en el modelo de industria de las 3Cs, que ofrece una mirada estratégica a los pilares que toda empresa necesita para el éxito: Clientes – Compañía – Competidores. "Inteligente" porque mediante el uso de inteligencia artificial (IA) y aprendizaje automático (ML) puede recopilar, procesar y analizar el creciente tsunami de datos (estructurados y no estructurados) relacionados con las 3Cs, los cuales son increíblemente valiosos. Solo fortaleciendo, posicionando e integrando estos tres pilares (Clientes – Compañía – Competidores) podrás construir una ventaja competitiva sostenible.